协同防御功能依靠知道创宇安全大脑,结合知道创宇网络空间测绘引擎ZoomEye的测绘数据动态识别,实时共享知道创宇云防御安全大数据威胁情报与攻击指纹库,同步检测与拦截识别到的各类高危风险IP,快速并精准地拦截来自各行各业的高危攻击源与恶意攻击IP,可大幅度提升攻击防御效果。
一、拦截页面展示
开启协同防御功能后,若访问IP或指纹匹配当前开启的协同防御级别库,将对当前请求进行拦截,拦截页面如下图:
二、报表展示
协同防御拦截情况可以在【创宇盾】 – 【报表】- 【查看报表详情】 -【Web应用攻击统计】进行查看。
三、拦截日志
用户可登陆控制台下载7天内的拦截日志,下载位置为:【创宇盾】-【日志下载】-【攻击日志】,详细字段可查阅日志字段说明。
2021-07-28<SP>14:41:34 0.000 GD_FINANCE_IP BAN 40.*.*.191 40.*.*.191 www.example.com /admin GET – error 403 Mozilla/5.0<SP>(Windows<SP>NT<SP>6.1;<SP>WOW64)<SP>AppleWebKit/534+<SP>(KHTML,<SP>like<SP>Gecko)<SP>BingPreview/1.0b – – –
协同防御日志字段说明:
| 1 | GD_SCANER_IP | 协同防御扫描器IP拦截 | 协同防御扫描器IP拦截 |
|---|---|---|---|
| 2 | GD_BRUTE_FORCE_IP | 协同防御暴力破解IP拦截 | 协同防御暴力破解IP拦截, 用于拦截使用暴力破解软件的IP |
| 3 | ONION_IP | 洋葱路由IP拦截 | 协同防御洋葱路由IP拦截 |
| 4 | GD_FINANCE_IP | 金融高危IP拦截 | 协同防御金融类高危IP拦截 |
| 5 | GD_GOV_IP | 政府高危IP拦截 | 协同防御政府高危IP拦截 |
| 6 | GD_NEWS_IP | 新闻媒体高危IP拦截 | 协同防御新闻高危IP拦截 |
| 7 | GD_EDU_IP | 教育类高危IP拦截 | 协同防御教育类高危IP拦截 |
| 8 | GD_MEDICAL_IP | 医疗类高危IP拦截 | 协同防御医疗类高危IP拦截 |
| 9 | GD_OTHER_IP | 其他高危IP拦截 | 协同防御其他高危IP拦截 |
四、拦截解决方案
1)若出现拦截问题建议先核实是否为真实用户正常访问;
2)若核实该IP为可信IP,可将IP地址添加至协同防御白名单中进行放行,放行后协同防御将不对此IP进行联动防御,其他防御策略依然有效。
协同防御功能使用说明可参考:http://help.yunaq.com/faq/2374/index.html
协同防御最佳实践可参考:http://help.yunaq.com/faq/3398/index.html